Artigos - Coluna Risk Management

  • July 2020
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Artigos - Coluna Risk Management as PDF for free.

More details

  • Words: 6,729
  • Pages: 18
Coluna Risk Management Francesco de Cicco, QSP A Gestão de Riscos é uma disciplina em constante evolução. Várias tentativas têm sido feitas para dar uma certa "padronização" ao tema, para que os stakeholders (ou "partes envolvidas") e os diversos públicos e setores que adotam a GR possam ter um entendimento comum e falar a mesma língua, quando se trata de administrar os riscos empresariais (e eu acrescentaria - por que não, com as devidas adaptações - os riscos pessoais e familiares!). Começando pela norma australiana e neozelandesa AS/NZS 4360, publicada em 1995 e revisada em 1999 (veja o manual que o QSP está lançando em português sobre esse padrão pioneiro), seguida por normas sobre Gestão de Riscos do Canadá (em 1997), da Grã-Bretanha (em 2000) e do Japão (em 2001), chega-se ao ISO/IEC Guide 73, Risk Management - Vocabulary - Guidelines for use in standards, publicado em 2002 pela International Organization for Standardization (ISO) e pela International Electrotechnical Commission (IEC), ambas com sede em Genebra, na Suiça. O ISO Guide 73, como eu o chamarei nesta coluna para fins de simplificação, define 29 termos da Gestão de Riscos, os quais foram agrupados nas seguintes categorias: a) Termos básicos; b) Termos relacionados a pessoas ou organizações afetadas por riscos; c) Termos relacionados à avaliação de riscos; d) Termos relacionados ao tratamento e controle de riscos. As definições não foram elaboradas para cada área de aplicação da GR. Cada definição procura ser genérica e a mais ampla possível. O conteúdo do guia é muito mais que um simples "vocabulário", pois permite aos usuários terem uma boa idéia do que é a Gestão de Riscos. Os membros do grupo de trabalho que elaborou o ISO Guide 73 esperam que, com esse guia, profissionais e especialistas das mais diversas áreas (finanças, segurança, saúde, meio ambiente etc) consigam agora se entender e falar, finalmente, a mesma linguagem... Os primeiros termos que separei estão aí ao lado. Em cada edição da coluna, pretendo apresentar 2 ou 3 deles.

O processo de Gestão de Riscos A norma AS/NZS 4360, a primeira do mundo sobre Sistemas de Gestão de Riscos Empresariais, propõe um processo estruturado para o gerenciamento dos mais diversos tipos de riscos, entre os quais destaco: os relacionados à segurança, ao meio ambiente e à qualidade de produtos e serviços; os riscos financeiros e os riscos relacionados a seguros e a políticas públicas.

Dos riscos "negativos" aos riscos "positivos"

Embora o conceito de risco esteja ainda bastante associado a perigos e impactos negativos, cresce rapidamente a sua utilização como "exposição a conseqüências da incerteza", sendo cada vez mais aplicado tanto ao gerenciamento de perdas como ao de ganhos potenciais. Nestes últimos anos, a Gestão de Riscos, de maneira geral, tem buscado alcançar o adequado balanceamento entre aproveitar as oportunidades de ganho e minimizar os impactos adversos. A "nova" GR é parte integrante das boas práticas de gestão empresarial e é um elemento essencial da chamada Governança Corporativa. É desenvolvida como um processo iterativo, composto de etapas seqüenciais, de modo a permitir a melhoria contínua da tomada de decisões e do desempenho da organização. Hoje, a Gestão de Riscos envolve o estabelecimento de uma cultura e infra-estrutura adequadas, bem como a aplicação de uma metodologia lógica e sistemática para administrar os riscos "negativos" (de perdas) e os riscos "positivos" (de ganhos), associados a qualquer atividade, função ou processo. Para ser eficaz, a GR deve estar "incrustada" na cultura da organização, nas suas práticas e em seus processos de negócio. Não deve ser vista ou praticada como uma atividade separada. Vários são os exemplos de métodos e técnicas, novos e consagrados, que podem ser utilizados nesse contexto atual da Gestão de Riscos. Para dar uma idéia a vocês, vou relacionar a seguir alguns deles, classificados de acordo com o seu uso mais freqüente: Técnicas de identificação de riscos

Técnicas e métodos de análise de riscos Riscos "positivos"

• • • • • • •

Brainstorning Questionários Benchmarking Análise de cenários Reuniões de avaliação de riscos Investigação de incidentes Auditoria e inspeção



HAZOP

• • • •

Pesquisas de mercado Testes de marketing Pesquisa & Desenvolvimento Análise de impactos do negócio

Riscos "negativos" • • •

Análise de ameaças Análise de Árvores de Falhas FMEA

Ambos • • • •

Análise de Árvores de Eventos Planejamento da continuidade do negócio Inferências estatísticas Medidas de tendência central e dispersão

A análise de riscos segundo a norma AS/NZS 4360 Os objetivos da análise são separar os riscos aceitáveis menores dos riscos maiores e fornecer dados para auxiliar na avaliação e no tratamento de riscos. A análise de riscos envolve a consideração das fontes de risco, de suas conseqüências e da probabilidade de tais conseqüências ocorrerem. Pode-se identificar os fatores que afetam as conseqüências e a probabilidade. Um risco é analisado combinando-se as estimativas das conseqüências e da probabilidade no contexto das medidas de controle existentes. Pode-se realizar uma análise preliminar, a fim de que riscos semelhantes ou de baixo impacto sejam excluídos de um estudo mais detalhado. Os riscos excluídos devem ser listados, na medida do possível, a fim de demonstrar a totalidade da análise de riscos. Determinação dos controles existentes Identificar os sistemas de gestão, os sistemas técnicos e os procedimentos existentes para o controle de riscos, e avaliar seus pontos fortes e fracos. Podem ser utilizadas as ferramentas mencionadas em outra seção da norma e abordagens como inspeções e técnicas de controle de auto-avaliação. Conseqüências e probabilidades A magnitude das conseqüências de um evento, caso este ocorra, e a probabilidade do evento e as conseqüências a ele associadas são avaliadas no contexto dos controles existentes. As conseqüências e a probabilidade são combinadas com o intuito de produzir um nível de risco, podendo ser determinadas por meio de análises e cálculos estatísticos. Caso não haja dados anteriores disponíveis, podem ser feitas estimativas subjetivas que reflitam o grau de expectativa de um indivíduo ou grupo quanto à ocorrência de um determinado evento ou resultado. A fim de evitar o viés subjetivo, convém que as melhores fontes de informação e técnicas disponíveis sejam utilizadas ao analisar conseqüências e probabilidades. As fontes de informação podem incluir: a) Registros anteriores; b) Experiências pertinentes; c) Prática e experiência do setor da indústria; d) Publicações pertinentes; e) Teste de marketing e pesquisa de mercado; f) Experimentos e protótipos; g) Modelos econômicos, modelos de engenharia e outros; h) Opinião de especialistas e peritos. As técnicas incluem: i) entrevistas estruturadas com especialistas da área de interesse; ii) uso de grupos multidisciplinares de especialistas; iii) avaliações individuais utilizando-se questionários; iv) utilização de softwares de modelagem e outros meios similares; e v) uso de árvores de falhas e árvores de eventos.

Sempre que possível, deve-se incluir o grau de confiança das estimativas dos níveis de risco. Tipos de análise A análise de riscos pode ser conduzida com vários graus de refinamento, dependendo das informações e dados disponíveis. As análises podem ser: qualitativas, semiquantitativas, quantitativas ou uma combinação das mesmas, dependendo das circunstâncias. Classificando-se as análises em ordem crescente de complexidade e custos, tem-se: as qualitativas, as semi-quantitativas e as quantitativas. Na prática, geralmente utiliza-se a análise qualitativa em primeiro lugar, a fim de se obter uma indicação geral do nível de risco. Posteriormente, pode ser necessário realizar análises quantitativas mais específicas. A seguir, são apresentados esses tipos de análise com mais detalhes. a) Análise qualitativa A análise qualitativa utiliza palavras ou escalas explicativas para descrever a magnitude das conseqüências potenciais e a probabilidade subjetiva dessas conseqüências ocorrerem. Essas escalas podem ser adaptadas ou ajustadas de acordo com as circunstâncias, podendo-se utilizar descrições diferentes para riscos diferentes. A análise qualitativa é utilizada: i) como uma atividade de prospecção inicial para a identificação dos riscos que requerem uma análise mais detalhada; ii) quando o nível de risco não justifica o tempo e os esforços necessários para uma análise mais completa; ou iii) quando os dados numéricos são insuficientes para uma análise quantitativa. b) Análise semi-quantitativa Em análises semi-quantitativas, atribui-se valores às escalas qualitativas tais como as descritas acima. Não é necessário que o número atribuído a cada descrição corresponda exatamente à magnitude real das conseqüências ou probabilidade. Os números podem ser combinados de acordo com qualquer série de fórmulas, desde que o sistema utilizado para a priorização se ajuste ao sistema escolhido para atribuir números e combiná-los. O objetivo dessa análise é produzir uma priorização mais detalhada do que aquela normalmente obtida em uma análise qualitativa, e não sugerir valores absolutos como se pretende com a análise quantitativa. Deve-se tomar cuidado com o uso desse tipo de análise, pois os números escolhidos podem não refletir adequadamente os aspectos relativos, o que pode levar a resultados inconsistentes. A análise semi-quantitativa pode ser insuficiente para diferenciar os riscos apropriadamente, principalmente se a probabilidade e as conseqüências forem extremas. Em alguns casos, pode ser necessário considerar a probabilidade subjetiva como sendo composta por dois elementos, geralmente chamados de freqüência de exposição e probabilidade objetiva.

Freqüência de exposição é o grau até o qual existe uma fonte de risco e a probabilidade objetiva é a chance de haver conseqüências, no caso de tal fonte de risco existir. Deve-se tomar cuidado nas situações em que a relação entre os dois elementos não é totalmente independente, ou seja, quando houver uma forte relação entre a freqüência de exposição e a probabilidade objetiva. Essa abordagem pode ser aplicada tanto à análise semi-quantitativa quanto à análise quantitativa. c) Análise quantitativa Na análise quantitativa, utilizam-se valores numéricos (em vez das escalas descritivas utilizadas nas análises qualitativas e semi-quantitativas), tanto para as conseqüências quanto para as probabilidades. A qualidade da análise depende da precisão e da abrangência dos valores numéricos utilizados. As conseqüências podem ser estimadas mediante a modelagem dos resultados de um evento ou conjunto de eventos, ou pela extrapolação de estudos experimentais ou dados anteriores. As conseqüências podem ser expressas em termos monetários, técnicos, humanos ou qualquer um dos critérios referidos em outra seção da norma. Em alguns casos, pode ser necessário mais de um valor numérico para especificar as conseqüências para diferentes períodos, lugares, grupos ou situações. A probabilidade é geralmente expressa pela probabilidade objetiva, pela freqüência ou pela combinação da exposição e da probabilidade objetiva. A maneira pela qual são expressas a probabilidade e as conseqüências, e os modos como são combinadas para fornecer o nível de risco, irá variar de acordo com o tipo de risco e com o contexto no qual é utilizado o nível de risco.

Os Sistemas da Qualidade e a Gestão de Riscos

(1ª parte)

Texto adaptado por Francesco De Cicco, diretor-executivo do QSP, de um artigo de Russell T. Westcott, professor e consultor norte-americano.

Após o estouro da bolha do mercado de ações das empresas ponto.com, os acontecimentos de 11 de setembro, o colapso das empresas Enron e Arthur Andersen, os casos corriqueiros de fraude e até mesmo a recente explosão da Base de Alcântara, no Maranhão, duas coisas sobre risco devem ficar bem entendidas: • •

Eventos negativos com impactos que vão desde um pequeno transtorno até uma catástrofe podem afetar sua empresa onde quer que ela esteja localizada. Eventos negativos podem assumir diversas formas, sendo que cada evento afetará uma organização de maneira diferente, causando um impacto que

poderá significar um pequeno transtorno para uma e uma grande catástrofe para outra. Com isso em mente, é importante lembrar que um fator de risco que se transforme em um evento negativo real tem a possibilidade de transtornar os processos de sua organização, deixando-a incapaz de atender aos requisitos dos clientes. O ponto principal de um Sistema de Gestão da Qualidade (SGQ) é buscar a satisfação dos clientes sob quaisquer circunstâncias. Infelizmente, a série ISO 9000:2000 não aborda diretamente a gestão dos riscos que podem afetar as organizações e a qualidade do produto. Evidentemente, não deveríamos esperar que a ISO 9001:2000, Sistemas de gestão da qualidade Requisitos, exigisse a avaliação de riscos; afinal, ela é uma norma genérica para SGQs, enquanto que o risco não é nem genérico nem um elemento básico do SGQ. Já a ISO 9004:2000, Sistemas de gestão da qualidade - Diretrizes para melhorias de desempenho, dá algumas "pistas" para o desenvolvimento do processo de gerenciamento de riscos, especialmente nas seções 6.3 (Infra-estrutura) e 6.4 (Ambiente de trabalho). Isso não significa necessariamente uma falha, pois os criadores da série ISO 9000, edição 2000, diluíram de certa forma a Gestão de Riscos em várias seções das normas que compõem a série. Trata-se de uma abordagem prática, pois um risco não assume uma forma única nem afeta um único processo ou elemento do SGQ. Como existe a possibilidade de que um risco afete a qualidade - e até mesmo a própria existência da organização -, explorarei alguns riscos que podem causar impacto sobre os processos da organização. Darei também algumas sugestões sobre maneiras de como gerenciar os riscos no contexto do SGQ. A Tabela 1 fornece uma lista de alguns riscos que podem afetar uma organização. Não chega a ser uma lista completa; porém, mais assustador do que essa lista é a total falta de atenção e preparo de muitas organizações quanto a perdas inesperadas. É bem provável que você trabalhe numa empresa ou conheça uma organização com uma mentalidade do tipo "não vai acontecer conosco", em relação a possíveis riscos que, além de afetar a qualidade do produto caso ocorra uma perda, podem causar o fechamento definitivo da empresa e deixar seus donos endividados para o resto da vida. Uma organização inteligente, qualquer que seja seu tamanho, faz avaliações dos possíveis riscos aos quais está exposta e estabelece meios viáveis de gerenciar seus riscos de perda.

Tabela 1. Possíveis Tipos e Formas de Risco que Podem Afetar uma Empresa Não-conformidade com requisitos Ação legal regulamentares Impactos ambientais (considerados Erros do cliente significativos) Atraso de pagamento ou não-pagamento Erros do fornecedor por parte do cliente Defeitos de matéria-prima Não-conformidades do prestador de serviço Investimentos financeiros (rendimento Erros e omissões inesperado ou inaceitável) Falhas de projeto ou retorno sobre Responsabilidade legal relacionada ao investimento (ROI) indevido produto Práticas incorretas de funcionários (nãoconformidade com regras de segurança e outros tipos de regra, roubo, dano físico a Sabotagem colegas de trabalho, fornecimento de respostas incorretas, falsificação de registros etc) Perda catastrófica (incêndio, furacão, Acidentes tornado, enchente, terremoto, nevasca etc) Dano resultante de ação militar ou Tumulto civil ou ataque terrorista insurreição política Vandalismo Obsolescência do produto Controle indevido ou omisso (sobre processos, finanças, funcionários, Desatenção a sinais de perigo fornecedores, prestadores de serviço etc) Comportamento ilegal ou anti-ético por Desqualificação para certificações, licenças, parte da direção permissões Morte, invalidez ou saída inesperada de Aquisição indesejada da organização pessoas-chave Outros casos de interrupção dos negócios . O Processo de Gestão de Riscos O SGQ nada mais é do que uma série de processos de gestão inter-relacionados. O objetivo é que, avaliando-se os processos para se obter eficácia e garantindo-se o uso adequado e esperado deles, um processo se una ao outro formando processos estáveis, eficazes e eficientes para a fabricação dos produtos da organização. Um bom processo preventivo que se pode estabelecer para evitar que todos os outros processos sejam interrompidos ou corrompidos é a Gestão de Riscos. Para estabelecer um processo de Gestão de Riscos eficaz, deve-se tomar as seguintes medidas: 1. Planejar. Significa que a organização deverá: a. Identificar e definir possíveis exposições a perdas; b. Quantificar os possíveis riscos financeiros e não-financeiros; c. Examinar a viabilidade de técnicas alternativas de Gestão de Riscos; d. Selecionar a(s) melhor(es) técnica(s) de Gestão de Riscos.

2. Fazer. Significa que a organização deverá testar a(s) técnica(s) de Gestão de Riscos escolhida(s). 3. Checar. Consiste em aprovar cada técnica para sua implementação integral, fazer ajustes na(s) técnica(s) escolhida(s) e determinar a necessidade de selecionar alternativas. 4. Agir. Para isso, a organização deverá: a. Realizar a implementação integral da(s) técnica(s) ensaiada(s); b. Monitorar a(s) técnica(s) implementada(s) para adequar a proteção. 5. Melhorar a(s) técnica(s) implementada(s) (voltar ao item Planejar). Essas medidas constituem o modelo PDCA, que é a base de um SGQ voltado para a melhoria contínua. Na prática, uma organização que usa essa abordagem está buscando a melhoria contínua e diminuindo sua exposição a perdas. Identificar exposições a perdas é uma idéia "óbvia", porém é mais fácil dizer do que fazer. Uma forma recomendada de se fazer isso é considerar as quatro perguntas a seguir: 1. O que está exposto a uma possível perda? Os itens que merecem ser considerados são: a. Propriedade (imóvel, instalações, equipamentos, produto, material, propriedade intelectual); b. Resultado financeiro (curto e longo prazo); c. Responsabilidade legal (curto e longo prazo); d. Pessoas (funcionários, clientes, fornecedores, membros da comunidade, investidores e outros). 2. Que situação, evento ou perigo pode causar uma perda em cada exposição? 3. Quais são as conseqüências financeiras e outros tipos de conseqüência da perda? 4. Que ente tem o potencial de sofrer a perda? A Tabela 2 fornece uma análise detalhada dos tipos de exposição em relação a esses quatro fatores. Embora seja fácil perceber o que poderia ter sido feito após ocorrer uma perda, perceber o que poderia acontecer de ruim - e então tomar medidas para eliminar ou minimizar as vulnerabilidades existentes - é mais difícil. Mesmo assim, existem técnicas e ferramentas para identificar e analisar a exposição a perdas.

Tabela 2. Análise Detalhada de Possíveis Exposições a Perdas Exposição a Perdas

Causas

Conseqüências

Possível Ente a Sofrer

Financeiras Propriedade





Tangível Imóvel (terreno, instalações, coisas cultiváveis) Produtos Materiais Intangível Licenças Interesses de locação Propriedade intelectual (sigilo comercial, processos do proprietário)

Resultado financeiro (Receitas, Despesas)

• •

Curto prazo Longo prazo

Naturais

• • • • •

Incêndio Vendaval Enchente Terremoto

• •

Custo de reposição



Valor de caixa real



Valor econômico ou valor de utilização

Tempestade (chuva, granizo, neve)

Custo de reposição funcional

Perda



Interesses do proprietário

• •

Credores segurados



Interesses do locatário



Funcionários



Comunidade

• • • •

A própria empresa



Interesses contratuais

Vendedores e compradores

Humanas

• •

Roubo Vandalismo

• Mau uso Redução das receitas •

Interrupção de negócios



Perda de lucros antecipados



Redução da renda de locação



Redução de contas a receber



Aumento das despesas

• •

Redução dos lucros Redução da participação no mercado

Acionistas Clientes Funcionários



Redução do preço das ações



Menos capital



Redução de melhorias



Custos legais, incluindo: - Julgamentos contra o ente - Honorários advocatícios - Danos punitivos

• • • •

A própria empresa



Custo do tempo envolvido



Interesses contratuais



Perda de reputação



Aumento de despesas operacionais Responsabilidade legal Classificação em relação (resultante de um ente: ser ao ente a quem pertence processado por transgredir o dever um dever legal ou prejudicar outro ente; ser • Criminal obrigado por contrato a pagar por uma perda sofrida • Civil: por outro ente) - Contrato - Delito



Curto prazo



Longo prazo

Classificação em relação à fonte do dever legal



Leis e Decretos



Portarias e Regulamentos

Acionistas Clientes Funcionários

Exposição a Perdas Perda de pessoal

• • • •

Pessoas-chave



Membros da comunidade

Funcionários Clientes Fornecedores

Conseqüências Financeiras

Causas

• • • • •



Morte Invalidez Aposentadoria



Demissão Benefícios de funcionários: -Responsabilidade contratual -Responsabilidade criminal ou civil



Perdas temporárias vs. perdas permanentes Perdas normais vs. perdas acima do normal

Possível Ente a Sofrer Perda

• • •

Acionistas



Interesses contratuais

Clientes Funcionários

Benefícios adicionais

OS SISTEMAS DA QUALIDADE E A GESTÃO DE RISCOS (2ª parte) Texto adaptado por Francesco De Cicco, diretor-executivo do QSP, de um artigo de Russell T. Westcott, professor e consultor norte-americano.

É cada vez maior o número de métodos e técnicas que são usados para identificar e analisar exposições a perdas, já que a análise de uma possível exposição é tão difícil de se fazer quanto a identificação da exposição em si. A lista a seguir relaciona algumas forma eficazes para identificar e analisar tais exposições. 1. Analisar os incidentes relatados que envolvam perdas potenciais ou reais. O primeiro lugar que se deve olhar é a própria organização. Analise os registros para descobrir informações sobre: • • • • •

Indenização por perdas referentes aos últimos dois ou três anos, incluindo multas e acordos extrajudiciais; Indicação e gravidade de dívidas incobráveis e pagamentos atrasados de clientes; Indicação de perdas devido a ações fraudulentas de fornecedores ou funcionários; Indicação de perdas devido ao cancelamento de licenças, certificações etc; Possíveis perdas caso expire um período de patente.

O segundo lugar que se deve "olhar" é para fora da empresa; ou seja, requisitar dados de seguradoras referentes aos tipos e quantidades de indenizações feitas em nome da organização (ex.: indenizações referentes à saúde e acidentes/invalidez, responsabilidade civil). Em seguida, analise os registros da comunidade dos últimos anos sobre acidentes locais que tenham causado perdas. Esses acidentes podem não apenas se repetir na

sua empresa, mas também inspirar outros a acusar sua organização pela mesma razão. Algumas fontes de registros da comunidade são: • • • •

Registros da prefeitura e arquivos históricos; Arquivos de jornais locais; Fontes de bibliotecas locais; Arquivos da polícia e registros do corpo de bombeiros local.

2. Coletar dados de fontes internas. Conduzir sessões de brainstorming com os funcionários de todos os níveis e funções da organização, bem como realizar enquetes para coletar exemplos de pontos onde possam estar escondidos possíveis riscos. 3. Auditar declarações financeiras e documentos de suporte. Questões financeiras são talvez a causa mais comum da exposição a riscos na maioria das organizações, estando entre os mais lucrativos quando reparados ou evitados. Toda organização tem de relatar suas informações financeiras para uma série de entidades, incluindo a Receita Federal, ainda que muitas empresas contem com a ajuda de contadores internos e externos para verificar essas informações. No entanto, se a direção se acostumasse a examinar essas declarações, certificando-se de que elas batem com suas próprias informações, poderia dar o sinal vermelho quando necessário e manter os contadores em alerta. 4. Elaborar e analisar mapas de processo. Faça um mapa (fluxograma) dos processos principais. Para tanto, será necessário convocar um grupo representativo de funcionários que dê contribuições para o processo, realize o processo e receba os resultados do processo. A partir do(s) mapa(s), discuta onde há possíveis "pontos de risco" no processo. Representantes de fornecedores e clientes também podem ser úteis nessa análise. 5. Conduzir inspeções e auditorias de processo periódicas. As inspeções de segurança e saúde não apenas buscam não-conformidades com os regulamentos, mas também oportunidades para reduzir riscos. Pode-se também incorporar perguntas para identificar possíveis riscos nas auditorias internas do SGQ - Sistema de Gestão da Qualidade, bem como nas auditorias de produtos. Pergunte-se sempre se, nas mãos do usuário final, o produto poderá ser usado com segurança durante seu ciclo de vida, incluindo o descarte. 6. Utilizar a FMEA (Análise de Modos de Falha e Efeitos). Essa é uma boa técnica para determinar o que pode dar errado e que impacto esse erro terá nos processos e no produto, tendo como objetivo evitar as falhas e seus efeitos. Veja a seguir uma aplicação da FMEA. 7. Avaliar a eficácia dos sistemas de gestão. Essa avaliação não se trata das auditorias internas realizadas para verificar a conformidade com uma ou mais normas e buscar a melhoria contínua, embora também possa fazer parte desse tipo de auditoria. O ponto principal aqui é a avaliação de riscos, a fim de verificar se existem "falhas" no(s) sistema(s) de gestão que possam deixar ou estejam deixando a organização exposta a perdas. Nunca é tarde demais para minimizar ou eliminar uma exposição; assim, convém que cada avaliação realizada pela organização avalie a eficácia do sistema em relação à prevenção de exposições e o que precisa ser melhorado ou corrigido para

reduzi-las. Além disso, será necessário avaliar um ou mais dos sistemas a seguir, para determinar o nível de exposição e o que precisa ser feito para minimizá-lo: • • • • •

SGQs; Sistemas de gestão financeira, que incluem pagamentos de fornecedores, receitas, folhas de pagamento, investimentos, gerenciamento de ativos e reservas de contingência; Propriedade intelectual; Sistemas de segurança e garantia; Sistemas de gestão ambiental e outros sistemas.

8. Contratar serviços de inspeção. Tendo um organismo externo que examine as operações da empresa, pode-se obter informações sobre segurança patrimonial e do trabalho, conformidade com regulamentos e conformidade com requisitos nãoregulamentares (ex.: ISO 9001). 9. Consultar estatísticas sobre exposição. Seguradoras, associações profissionais e agências reguladoras, todas podem fornecer à sua empresa dados estatísticos sobre possíveis exposições que sejam comuns no setor de atividade da organização, e quais os possíveis custos dessas exposições. Reação às Exposições a Riscos Identificar as exposições a riscos é uma medida crucial; porém, é necessário determinar como a empresa irá reagir a essas exposições, não havendo qualquer garantia de que conseguirá reagir a todas elas. Uma vez que a empresa tenha identificado as exposições e determinado a probabilidade de perda humana, material e/ou financeira, deverá tomar uma ou mais das seguintes ações: 1. Encontrar um meio de evitar a exposição; 2. Encontrar meios de reduzir a possível perda; 3. Encontrar meios de evitar que a perda ocorra; 4. Dividir os tipos de exposição para concentrar os esforços naquelas com mais probabilidade de ocorrer e/ou causar grande perda (ex.: mínima, média, máxima); 5. Transferir o risco (ex.: seguro ou outro acordo contratual). Além de contratar o seguro para cobrir todo um possível risco ou uma parte dele, pode-se estabelecer vários tipos de planos de contingência, como as reservas para perdas, que é uma forma de auto-seguro. Contudo, o método de prevenção mais eficaz talvez seja treinar funcionários para reconhecerem perigos e possíveis áreas de risco. Por exemplo, uma empresa conhecida conduziu uma série de seminários para funcionários sobre "possíveis perigos e riscos". Em uma das sessões, um funcionário mencionou que seu falecido pai, que também fora funcionário daquela empresa por muito tempo, havia lhe contado sobre os danos causados quando o rio próximo à empresa subira cerca de 3 metros além do normal após uma incomum cheia. Os membros da atual direção da empresa, que haviam entrado na companhia nos últimos cinco anos, não tinham conhecimento desse potencial de risco. Tal informação foi muito útil para a alta direção, pois a empresa havia construído recentemente unidades - repletas de equipamentos novos e caros - à margem do rio.

Numa outra empresa, certa funcionária investigou as indenizações por falhas de produtos após um programa semelhante de treinamento. Isolando as causas relatadas, sugeriu que o pessoal da engenharia explorasse meios de criar produtos que evitassem o seu uso incorreto por parte dos clientes - causa da maioria das ocorrências. Isso resultou numa mudança do projeto de engenharia, reduzindo o número de ocorrências e a média de indenizações pagas devido a reclamações por "uso incorreto". Como resultado, o prêmio do seguro baixou. Um outro método de prevenção eficaz consiste em avaliar os possíveis riscos de um novo produto durante o estágio de projeto e desenvolvimento e tomar as medidas necessárias. Uma das ferramentas fundamentais nessa atividade de avaliação é a FMEA. O setor automotivo dos Estados Unidos, por exemplo, padronizou uma abordagem específica para o setor, porém há muitas formas de se conduzir a FMEA. Vejamos um exemplo de aplicação dessa técnica. Decidindo concorrer no mercado de fabricação de equipamentos militares de alta tecnologia, uma empresa de grande porte empregou a FMEA para identificar e avaliar os riscos de um tipo de produto inédito no mercado. A técnica ajudou a avaliar as entradas do projeto, garantiu a identificação e abordagem de possíveis modos de falha, proporcionou a identificação das causas-raiz dos modos de falha, determinou as ações necessárias para eliminar ou reduzir as possíveis falhas e acrescentou um alto grau de objetividade ao processo de análise crítica do projeto. A análise também direcionou a atenção da empresa para os elementos do projeto que precisavam de mais ensaio ou desenvolvimento, documentou os esforços para redução de riscos, forneceu subsídios para ajudar em futuras FMEAs e garantiu a realização do projeto com foco no cliente. Em seu formato básico, a metodologia FMEA usada por essa empresa consistiu de 16 ações: 1. Definir as entradas do projeto; 2. Investigar possíveis projetos semelhantes; 3. Identificar o modo de falha (o que poderia dar errado); 4. Identificar os possíveis efeitos da falha (como o cliente interno ou externo tomaria conhecimento do problema); 5. Classificar a gravidade dos efeitos (usando uma escala de 1 a 10, onde o "1" significava "mínimo" e o "10" significava "máximo e sem aviso"); 6. Estabelecer qual seria a(s) causa(s)-raiz; 7. Classificar a probabilidade de ocorrência da falha usando uma escala de 1 a 10; 8. Documentar os atuais controles de projeto; 9. Classificar a probabilidade de detecção da falha usando uma escala de 1 a 10; 10. Calcular o Número de Prioridade do Risco (NPR = gravidade X ocorrência X detecção); 11. Recomendar ações preventivas e/ou corretivas (qual ação, quem iria executá-la, quando) - note que a ação preventiva aparece primeiro, pois estavam lidando com o estágio de projeto; 12. Voltar ao item de número 3, caso houvesse outras falhas possíveis; 13. Criar e ensaiar um protótipo; 14. Refazer a FMEA após obter os resultados do ensaio e fazer as alterações necessárias ou desejadas; 15. Ensaiar novamente ou colocar em produção; 16. Documentar o processo, incluindo a FMEA, no banco de conhecimentos.

O envolvimento dos funcionários que participaram das atividades de projeto, desenvolvimento, produção e atendimento ao cliente é fundamental, pois seu conhecimento, suas idéias e suas perguntas sobre o projeto de um novo produto serão baseadas em sua experiência nos diferentes estágios de realização do produto. Essa contribuição, juntamente com a análise de projetos semelhantes (e os relatórios do feedback de clientes e registros de FMEAs, não-conformidades de produtos e ações corretivas), são normalmente as melhores fontes de análise. Todas as despesas que consomem os ativos organizacionais incorrem em risco. Assim, uma medida fundamental para a análise de riscos consiste em examinar quais são os riscos financeiros relacionados com projetos e despesas de capital; afinal, se uma catástrofe ou qualquer outro tipo de problema afetar a empresa, todo mundo avaliará o impacto, considerando o seu efeito sobre o resultado financeiro. Falência é normalmente o resultado da falta de análise dos riscos financeiros de projetos e despesas de capital e da falta de precauções adequadas. Algumas das formas para trazer à tona e examinar riscos associados com despesas de capital e projetos são: • • • • • •



Brainstorming; Obtenção de contribuições (input) das partes envolvidas; Análise crítica dos resultados de despesas anteriores; Realização da FMEA; Realização de comparações (benchmarking) com outras empresas; Coleta e análise de dados de: . Associações de classe . Publicações governamentais . Reclamações de clientes Análise do possível retorno dos investimentos (custo-benefício, VPL, TIR, ROI, ROA etc).

Cálculo de Possíveis Perdas e Definição de Ações Mesmo sem se aprofundar em modelos e técnicas matemáticas, uso de tabelas atuariais e similares, é possível produzir uma estimativa confiável do potencial de perdas na empresa. Os passos a seguir o ajudarão nesse sentido: •

• • •

Após identificar os riscos e a prioridade do risco (veja acima a explanação sobre FMEA), priorize todos os riscos identificados (usando o NPR) por meio de um gráfico de Pareto. Identifique os oito riscos principais e agrupe os restantes numa categoria denominada "todos os outros"; Para cada risco principal, imagine o "pior cenário possível". Liste todas as conseqüências possíveis (uma técnica seria o brainstorming); Classifique as conseqüências em grupos de acontecimentos semelhantes (uma boa ferramenta seria o diagrama de afinidade); Faça estimativas de perdas financeiras para cada grupo. Alguns dos itens para os quais você poderia definir um valor são: . Custos com advogados, acordos por reclamações . Acordos por reclamações devido a perda de vidas . Perda temporária ou fechamento do negócio . Custos de recolhimento do produto (recall) . Desgaste da credibilidade da empresa e/ou dos produtos



• • • •

. Aumento dos prêmios de seguro . Aumento dos custos de segurança . Custos de reposição: pessoas, instalações, ferramentas etc . Obsolescência de produtos . Escassez de matéria-prima, fontes de energia, transporte, pessoal etc Determine o que seria necessário (custo de recursos adicionais) para reduzir ou eliminar a possível perda financeira acumulada para cada grupo. Eis alguns fatores que podem ser considerados: . Seguro ou outros meios para diluir as possíveis perdas . Melhoria da metodologia de previsões . Melhoria dos procedimentos de preparação e reação (planos de contingência) . Descentralização de funções e unidades associadas a riscos . Mudança de unidades para áreas geográficas de menor risco . Descontinuação da fabricação de produtos com alto potencial de risco Calcule o custo de recursos adicionais em relação ao valor total para cada grupo; Determine quais ações são de maior interesse para todas as partes envolvidas da empresa; Decida executar as ações que são de maior interesse para todas as partes envolvidas da empresa; Periodicamente, reavalie as decisões tomadas e faça os ajustes necessários.

Resumo O objetivo deste artigo foi apresentar alguns dos fatores que devem ser considerados para se criar e manter uma empresa de qualidade focada no cliente, conscientizando o leitor sobre a necessidade de se avaliar e controlar os riscos que possam causar impactos à organização. Lembre-se de que nem todas as empresas que ganham Prêmios da Qualidade sobrevivem. O que estamos falando tem pouco a ver com o atendimento a Critérios de Excelência e mais a ver com a maneira como uma organização administra seus negócios, a fim de eliminar os riscos identificados. Algumas das grandes falhas de empresas que faliram tiveram pouco ou nada a ver com problemas de qualidade de produtos e serviços, e tudo a ver com falhas na identificação, avaliação e tratamento de possíveis riscos. Definitivamente, não fará diferença nenhuma ter o melhor Sistema de Gestão da Qualidade do mundo, se aquele barranco atrás de sua empresa deslizar e acabar com tudo, simplesmente porque o risco não havia sido identificado e, portanto, não havia um plano de contingência. O mesmo destino aguarda a empresa cujo executivo frauda o fundo de pensão dos funcionários, ou cujo projeto de reposição de equipamentos não produz o rendimento esperado, resultando na negligência do pagamento de empréstimos. Além disso, em nossa sociedade litigiosa, a organização deve analisar cuidadosamente a possibilidade de ser processada por falhas em produtos, ações indevidas de funcionários e violação ou descumprimento de requisitos de segurança e saúde no trabalho. Tais ações legais costumam resultar em pesadas indenizações, caso a empresa seja considerada "culpada" ou forçada a chegar a um vultuoso acordo extrajudicial, qualquer que seja o motivo alegado.

Em suma: não ser capaz de manter uma empresa viável que atenda aos requisitos do cliente e dê suporte à força de trabalho constitui uma falha da qualidade - isto é, uma falha da qualidade da gestão.

Fontes Genéricas de Risco e suas Áreas de Impacto A identificação de fontes de risco e áreas de impacto fornece uma estrutura para a identificação e análise de riscos. Devido ao potencial grande número de fontes e impactos, desenvolver uma lista genérica ajuda a focalizar as atividades de identificação de riscos, além de contribuir para a gestão mais eficaz dos mesmos. As fontes de risco genéricas e as áreas de impacto são selecionadas de acordo com a sua relevância para a atividade que está sendo estudada. Os componentes de cada categoria genérica podem servir de base para um estudo completo dos riscos. Fontes de risco Cada fonte genérica possui diversos componentes e cada um deles pode dar origem a um risco. Alguns componentes ficarão sob o controle da organização que está conduzindo o estudo, enquanto que outros não. Ambos os tipos precisam ser considerados ao se identificar riscos. As fontes genéricas de risco incluem: a) Relações comerciais e legais (entre a organização e outras organizações. Ex.: fornecedores, subcontratados, locatários); b) Circunstâncias econômicas (da organização, do país, do mundo, bem como fatores que contribuam para tais circunstâncias. Ex.: taxas de câmbio); c) Comportamento humano (tanto de pessoas envolvidas quanto de pessoas nãoenvolvidas na organização); d) Fenômenos da natureza; e) Circunstâncias políticas (incluindo mudanças legislativas e fatores que possam influenciar outras fontes de risco); f) Tecnologia e questões técnicas (tanto internas quanto externas à organização); g) Atividades e controles de gestão; h) Atividades específicas. Áreas de impacto As análises de riscos podem se concentrar nos impactos causados em uma única área ou em várias possíveis áreas de impacto. As áreas de impacto incluem: a) Base de ativos e de recursos (da organização, incluindo as pessoas); b) Receitas e direitos; c) Custos (com atividades, tanto diretas quanto indiretas); d) Pessoas; e) Comunidade; f) Desempenho;

g) Programação de atividades; h) Meio ambiente; i) Ativos intangíveis (tais como reputação, imagem, qualidade de vida); j) Comportamento organizacional. Outras classificações de riscos É comum diferentes disciplinas classificarem as fontes de risco de outras maneiras, utilizando, por exemplo, termos como perigo ou exposição a riscos. Essas classificações podem ser subconjuntos das fontes de risco listadas anteriormente. Eis alguns exemplos: a) Doenças (ex.: enfermidades de pessoas, animais e plantas); b) Economia (ex.: flutuações cambiais, taxas de juros, mercado de ações); c) Meio ambiente (ex.: ruído, contaminação, poluição); d) Finanças (ex.: riscos de crédito, desvio de verbas, fraudes, multas); e) Pessoas (ex.: motins, greves, sabotagem, erros); f) Perigos da natureza (ex.: condições climáticas, terremotos, incêndios florestais, pragas, vulcões); g) Segurança e Saúde no Trabalho (ex.: medidas inadequadas de segurança, má gestão da segurança e saúde); h) Responsabilidade civil pelo fato do produto (ex.: erros de projeto, qualidade abaixo de padrões, ensaios inadequados); i) Responsabilidade profissional (ex.: aconselhamentos e diagnósticos errados, negligência, erros de projeto); j) Danos à propriedade (ex.: incêndio, inundação, terremoto, contaminação, erro humano); k) Responsabilidade com o público (ex.: acessos, saídas, segurança); l) Segurança patrimonial (ex.: transporte de valores, vandalismo, roubo, apropriação indébita de informações, invasão de propriedade); m) Tecnologia (ex.: inovação, obsolescência, explosões e confiabilidade).

ETAPAS PARA O DESENVOLVIMENTO E A IMPLEMENTAÇÃO DE UM PROGRAMA DE GESTÃO DE RISCOS Suporte da alta direção Desenvolver uma filosofia organizacional de gestão de riscos e conscientizar os níveis da alta direção sobre 'riscos'. Isso poderia ser facilitado com educação, treinamento e orientação da direção executiva. • • •

O executivo sênior da organização deve dar suporte ativo e contínuo. Um gerente executivo sênior ou um "champion" (ou equipe) deve patrocinar a iniciativa. Todos os executivos sêniores devem dar total suporte.

Elaboração da política organizacional Desenvolver e documentar uma política corporativa e uma estrutura para a gestão de riscos, que deverão ser endossadas pelo principal executivo e implementadas em toda a organização. A política pode incluir informações tais como: • • • • • • • •

objetivos da política e fundamento lógico para a gestão de riscos; ligação entre a política e o plano estratégico/corporativo da organização; extensão ou série de questões às quais se aplica a política; diretrizes sobre o que deve ser considerado como risco aceitável; responsável pela gestão de riscos; suporte/equipe de especialistas disponível para auxiliar os responsáveis pela gestão de riscos; nível da documentação necessária; e plano para análise crítica do desempenho organizacional em relação à política.

Comunicação da política Desenvolver, estabelecer e implementar uma infra-estrutura ou providências para assegurar que a gestão de riscos se torne parte integrante do planejamento, dos processos de gestão e da cultura geral da organização. Gestão de riscos no nível organizacional Desenvolver e estabelecer um programa de gestão dos riscos no âmbito organizacional mediante a aplicação do sistema de gestão de riscos aqui descrito. O processo para a gestão de riscos deve ser integrado ao planejamento estratégico e aos processos de gestão da organização. Gestão de riscos no nível do programa, projeto e equipe Desenvolver e estabelecer um programa para gerenciar os riscos para cada área da organização, programa, projeto ou atividade de equipe, mediante a aplicação do processo de gestão de riscos aqui descrito. O processo para gerenciar riscos deve ser integrado a outras atividades de planejamento e gestão. O processo escolhido, as decisões tomadas e as ações planejadas devem ser documentados. Monitoramento e análise crítica Desenvolver e aplicar mecanismos para assegurar a análise crítica contínua dos riscos. Isso assegurará que a implementação e a política de gestão de riscos permaneçam pertinentes, uma vez que as circunstâncias se modificam continuamente e a análise crítica de decisões anteriores é vital. Os riscos não são estáticos. A eficácia do processo de gestão de riscos também deve ser monitorada e analisada criticamente.

Related Documents

Coluna
November 2019 12
Artigos
June 2020 15
Risk Management
June 2020 20
Risk Management
June 2020 17
Risk Management
June 2020 11